TAG: 菠菜、XJ、黑产、Linux、入侵、后门

TLP: 白（报告转发及使用不受限制）

日期：2019-04-01

概要

近日，微步在线应急响应团队在处理Linux服务器被入侵事件过程中，分析发现了攻击者使用的多款黑客工具及攻击痕迹，并据此拓线出其更多网上资产，由于攻击者的C&C常使用字符串“xj”，我们将其命名为XJ团伙，其主要特征包括：

1.通过Web漏洞、服务器漏洞以及弱口令爆破等方式对目标网站进行渗透，并善用反弹shell后门、Xnote、SSHD后门,webshell等木马工具实现远程控制、长期驻留以及信息窃取的活动。

2.XJ团伙会通过篡改网站页面、配置文件、数据库等方式在合法网站植入菠菜信息，用于推广各类菠菜站点。

关联发现该团伙大量木马样本及5个C&C ，相关域名均在Godaddy注册，并长期使用美国、香港、韩国、日本、新加坡等地IP地址。

3.XJ团伙至少自2015开始活跃，主要通过入侵控制合法网站推广菠菜信息牟利，危害较大。

详情

近日，微步在线应急响应团队在处理Linux服务器被入侵事件中，发现攻击者是通过 Web 应用漏洞植入Webshell 获取系统控制权限，之后进行权限提取操作，在系统中安装sshd后门程序，用来明文记录管理员的登录账号及密码，等待一段时间后，利用窃取到的用户SSH登录账号密码，登录内网中其他开放ssh服务的主机，进而攻陷整个内网，最后，黑客通过修改Web服务器配置文件或修改js的形式，在受害者多个网站中插入菠菜推广信息，影响恶劣。

事件还原

此次事件中，我们在受害主机中发现了黑客在使用的Webshell、反弹shell及sshd后门等黑客工具，具体情况如下：

1.Webshell

攻击者最初是通过Web服务的框架漏洞写入了一个简单的Webshell，获取了服务器的控制权限，其攻击时使用的IP地址为103.49.11.212（香港）。

2、反弹shell

该样本为linux反弹shell的后门，该后门运行时，首先会将自己的进程名称修改为[nfsiod]，然后每隔80秒钟尝试向C&C服务器zzz.457467.com的17103端口进行连接，连接成功后会将受害主机shell反弹给攻击者使用。

3、sshd后门

攻击者在该主机中部署了sshd后门，该程序内含一个万能密码“****.!@#*****”，可供攻击者直接登录，此外还会持续记录所有登录者的用户名和密码存放至“/var/log/”目录下的.ilog文件中。通过该程序，攻击者成功获取了服务器管理员的常用密码，并据此渗透至内网的其他多台主机。

最终，黑客篡改了相关网站的配置文件，将菠菜推广信息插入其中，效果如下图所示：

关联分析

我们以分析过程中发现的C&C、木马特点以及攻击IP地址为线索，拓线发现了攻击者的其他网上资产：

1.C&C

本次事件发现攻击者使用的C&C为zzz.457467.com，通过微步在线追踪溯源系统关联发现另一个可疑域名xj.dsbxj.com，该域名存在ddos、rootkit、linux等可疑子域名，且部分子域名同样被用作修改版的Pirsm的回连C&C，判断为同一团伙所有。

2、样本

通过反弹Shell后门特点，我们又从微步在线威胁情报云中关联出数十份相似样本，并提取到更多C&C地址：

上述域名均在Godaddy注册，具备类似的子域名，且同时用于相似木马的回连地址，且域常出现“xj”，因此我们将其命名为“XJ团伙”。

而对上述域名进一步排查发现，除Linux后门外，mail.dsbxj.com、ddos.dsbxj.com、tt.455465.com等域名还曾作为部分Window平台下Farfli远控木马的C&C地址，可知该团伙还会针对Windows主机发起攻击。

此外，相关子域名长期使用美国、香港、韩国、日本、新加坡等地的IP地址，。

3、攻击IP

对上传Webshell的IP地址103.49.11.212关联发现，曾有用户于2018年9月向我们提交情报，称该IP地址曾入侵其公司服务器，并部署了反弹Shell后门，而该后门的C&C即上文关联出的zzz.xjdsbweb.com，进一步印证了相关资产属于XJ团伙。

最后，我们以此次事件攻击者推广的菠菜信息关联发现，目前互联网上还存在大量存在该信息的合法网站，有较大可能已被XJ团伙控制。

黑客画像

综合上述信息可知，XJ团伙攻击手法为：通过Web渗透或弱口令拿下第一台linux系统主机，在主机中植入具有万能密码、且明文记录用户登录账号密码功能的sshd后门，等待一段时间后，利用获得的用户账号密码，扫描内网其他开放ssh服务的主机，用已有账户密码登录内网其他主机，之后根据主机的业务类型，再根据实际情况对菠菜进行推广。该团伙画像如下：

IOC

点击“阅读原文”链接，查看更多相关IOC。